<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Progress MOVEit / WS_FTP / LoadMaster</title>
    <link>https://feed.xonatec.ch/produkte/progress-moveit</link>
    <description>Priorisierte Schwachstellen-Reports für Progress MOVEit / WS_FTP / LoadMaster. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/progress-moveit.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2023-34362 — Progress MOVEit Transfer – SQL Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-34362</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-34362</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine SQL-Injection-Schwachstelle in Progress MOVEit Transfer ermöglicht Angreifern unbefugten Datenbankzugriff. Neben Progress führt auch GE HealthCare die Lücke in seinen Sicherheitsinformationen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 99.9 %. Empfohlene Massnahme: Die Hersteller-Patches gemäss Progress-Advisory einspielen.

Severity: Aktiv ausgenutzt · EPSS: 99.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: ge-healthcare, progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>GE HealthCare</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2025-55182 — Meta React Server Components – Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-55182</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-55182</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Meta React Server Components besteht eine Schwachstelle, die entfernte Codeausführung (Remote Code Execution) ermöglicht. Wird laut CISA KEV aktiv ausgenutzt; die Aufnahme in den KEV-Katalog erfolgte am 2025-12-05. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 99.6 %. Da die Komponente in zahlreichen Produkt-Stacks eingebettet ist, sollten betroffene Anwendungen anhand der Hersteller-Advisories auf eine gepatchte Version gehoben werden.

Severity: Aktiv ausgenutzt · EPSS: 99.6% · aktiv ausgenutzt (KEV)

Betroffene Produkte: avaya, okta, progress-moveit, solarwinds</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Avaya</category><category>Okta</category><category>Progress</category><category>SolarWinds</category>
    </item>
    <item>
      <title>🔴 CVE-2024-6670 — Progress WhatsUp Gold – SQL Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-6670</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-6670</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Progress WhatsUp Gold ist von einer SQL-Injection-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.5 %.

Severity: Aktiv ausgenutzt · EPSS: 94.5% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2023-40044 — Progress WS_FTP Server – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2023-40044</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2023-40044</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Progress WS_FTP Server ist von einer Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten betroffen. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2024-4358 — Progress Telerik Report Server – Authentication Bypass by Spoofing</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-4358</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-4358</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Progress Telerik Report Server ist von einer Schwachstelle betroffen, die eine Authentifizierungsumgehung durch Spoofing ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2024-1212 — Progress Kemp LoadMaster – OS Command Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-1212</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-1212</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Progress Kemp LoadMaster ist von einer OS-Command-Injection-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2024-4885 — Progress WhatsUp Gold – Path Traversal</title>
      <link>https://feed.xonatec.ch/reports/cve-2024-4885</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2024-4885</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Progress WhatsUp Gold ist von einer Path-Traversal-Schwachstelle betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.3 %.

Severity: Aktiv ausgenutzt · EPSS: 94.3% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2019-18935 — Progress Telerik UI for ASP.NET AJAX – Deserialisierung nicht vertrauenswürdiger Daten</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-18935</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-18935</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Telerik UI for ASP.NET AJAX ermöglicht eine Deserialisierungs-Schwachstelle nicht vertrauenswürdiger Daten die Ausführung von beliebigem Code. Wird laut CISA KEV aktiv ausgenutzt. Bekannter Einsatz in Ransomware-Kampagnen. Ausnutzungswahrscheinlichkeit (EPSS): 93.6 %.

Severity: Aktiv ausgenutzt · EPSS: 93.6% · aktiv ausgenutzt (KEV), Ransomware

Betroffene Produkte: progress-moveit, net-microsoft</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category><category>.NET / Microsoft</category>
    </item>
    <item>
      <title>🔴 CVE-2025-47812 — Wing FTP Server – Unsachgemässe Behandlung von Null-Bytes</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-47812</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-47812</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wing FTP Server ist von einer Schwachstelle durch unsachgemässe Neutralisierung von Null-Bytes oder NUL-Zeichen betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.9 %.

Severity: Aktiv ausgenutzt · EPSS: 92.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>🔴 CVE-2017-9248 — Progress Telerik UI for ASP.NET AJAX und Sitefinity – Kryptografische Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2017-9248</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2017-9248</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Telerik UI for ASP.NET AJAX und Sitefinity wurde eine kryptografische Schwachstelle identifiziert. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 89.4 %.

Severity: Aktiv ausgenutzt · EPSS: 89.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit, net-microsoft</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category><category>.NET / Microsoft</category>
    </item>
    <item>
      <title>🔴 CVE-2025-47813 — Wing FTP Server – Information Disclosure</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-47813</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-47813</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wing FTP Server ist von einer Schwachstelle zur Offenlegung von Informationen betroffen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 26.9 %.

Severity: Aktiv ausgenutzt · EPSS: 26.9% · aktiv ausgenutzt (KEV)

Betroffene Produkte: progress-moveit</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-2699 — ShareFile Storage Zones Controller – Zugriff auf Konfigurationsseiten ohne Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2699</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2699</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im Customer Managed ShareFile Storage Zones Controller (SZC) von Progress können nicht authentifizierte Angreifer auf eingeschränkte Konfigurationsseiten zugreifen, was zu Änderungen an der Systemkonfiguration und potenzieller Remotecodeausführung führen kann. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 31.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 31.2%

Betroffene Produkte: progress-moveit, hpe-storage, ibm-storage, pure-storage</description>
      <category>Kritisch</category><category>Progress</category><category>HPE Storage</category><category>IBM Storage</category><category>Pure Storage</category>
    </item>
    <item>
      <title>CVE-2026-2701 — Progress – Dateiupload führt zu Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2701</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2701</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein authentifizierter Benutzer kann eine schädliche Datei auf den Server hochladen und ausführen, was zu einer Remotecodeausführung führt. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 1.0%

Betroffene Produkte: progress-moveit, hpe-storage, ibm-storage, pure-storage</description>
      <category>Kritisch</category><category>Progress</category><category>HPE Storage</category><category>IBM Storage</category><category>Pure Storage</category>
    </item>
    <item>
      <title>CVE-2019-25614 — Free Float FTP – Pufferüberlauf im STOR-Befehl ermöglicht Remote-Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25614</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25614</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Free Float FTP 1.0 enthält eine Pufferüberlauf-Schwachstelle im STOR-Befehlshandler, die es entfernten Angreifern durch einen manipulierten STOR-Request mit überlangem Payload ermöglicht, beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.9 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.9%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2019-25321 — FTP Navigator – Stack-Überlauf via SEH-Überschreibung ermöglicht Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25321</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25321</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>FTP Navigator 8.03 enthält eine Stack-Overflow-Schwachstelle, die es Angreifern durch Überschreiben der Structured-Exception-Handler-Register ermöglicht, beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.5 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.5%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2018-25254 — NICO-FTP – Structured Exception Handler Buffer Overflow ermöglicht Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2018-25254</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2018-25254</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>NICO-FTP 3.0.1.19 enthält eine Structured-Exception-Handler-Pufferüberlauf-Schwachstelle, die es entfernten Angreifern ermöglicht, durch manipulierte FTP-Befehle beliebigen Code auszuführen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-45060 — ClipBucket v5: Blind SQL Injection in actions/progress_video.php</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45060</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45060</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ClipBucket v5, eine Open-Source-Plattform zum Teilen von Videos, ist vor Version 5.5.3 - #129 über den Endpunkt actions/progress_video.php für Blind SQL Injection anfällig. Jeder nicht authentifizierte Nutzer kann die Lücke ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: auf Version 5.5.3 - #129 oder neuer aktualisieren.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: progress-moveit, php</description>
      <category>Kritisch</category><category>Progress</category><category>PHP</category>
    </item>
    <item>
      <title>CVE-2026-8037 — Progress ADC / LoadMaster: OS-Command-Injection in der API ermöglicht Remote Code Execution</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8037</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8037</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In der API der Progress-ADC-Produkte besteht eine OS-Command-Injection-Schwachstelle. Ein nicht authentifizierter Angreifer kann darüber beliebige Befehle auf der LoadMaster-Appliance ausführen, indem er nicht ausreichend geprüfte Eingaben ausnutzt. Der Angriffsvektor ist laut CVSS-Vektor benachbart (AV:A). CVSS-Basiswert: 9.6 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Kritisch · CVSS: 9.6 · EPSS: 0.3%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-7198 — Improper Access Control in Progress Sitefinity Web Services</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7198</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7198</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Sitefinity 15.4.8623 (vor Version 15.4.8630) ermöglicht eine fehlerhafte Zugriffskontrolle in den Web Services einem nicht authentifizierten Angreifer aus der Ferne, auf eigentlich eingeschränkte Inhalte zuzugreifen. CVSS-Basiswert: 9.8 (Kritisch). Betroffene Produkte: N-able, Progress.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: n-able, progress-moveit</description>
      <category>Kritisch</category><category>N-able</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-4670 — Authentication Bypass in Progress MOVEit Automation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4670</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4670</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress MOVEit Automation besteht eine kritische Schwachstelle, die eine Authentifizierungsumgehung durch eine primäre Schwäche ermöglicht. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: progress-moveit, rockwell-automation</description>
      <category>Kritisch</category><category>Progress</category><category>Rockwell Automation</category>
    </item>
    <item>
      <title>CVE-2020-37069 — Konica Minolta FTP Utility – Buffer Overflow im NLST-Befehl</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-37069</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-37069</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Konica Minolta FTP Utility 1.0 enthält eine Buffer-Overflow-Schwachstelle im NLST-Befehl, die es Angreifern ermöglicht, Systemregister zu überschreiben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2020-37068 — Konica Minolta FTP Utility – Buffer Overflow im LIST-Befehl</title>
      <link>https://feed.xonatec.ch/reports/cve-2020-37068</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2020-37068</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Konica Minolta FTP Utility 1.0 enthält eine Buffer-Overflow-Schwachstelle im LIST-Befehl, die es Angreifern ermöglicht, Systemregister zu überschreiben. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-27699 — basic-ftp – Path Traversal in downloadToDir()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-27699</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-27699</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die FTP-Client-Bibliothek „basic-ftp” für Node.js enthält in Versionen vor 5.2.0 eine Path-Traversal-Schwachstelle (CWE-22) in der Methode „downloadToDir()”. Ein bösartiger FTP-Server kann manipulierte Verzeichnislisten senden, um Dateien ausserhalb des vorgesehenen Zielverzeichnisses zu schreiben. CVSS-Basiswert: 9.1 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Kritisch · CVSS: 9.1 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-7312 — Unzureichend geschützte Zugangsdaten in Progress Sitefinity Web Services</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7312</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7312</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In den Web Services von Progress Sitefinity (Versionen 14.0.7700 bis 15.2.8441) besteht eine kritische Schwachstelle durch unzureichend geschützte Zugangsdaten (CWE-522). CVSS-Basiswert: 10 (Kritisch).

Severity: Kritisch · CVSS: 10 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Kritisch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-49172 — Windows FTP Service: Heap-Pufferüberlauf ermöglicht Codeausführung über das Netzwerk</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49172</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49172</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein heap-basierter Pufferüberlauf im Windows FTP Service erlaubt einem nicht authentifizierten Angreifer die Ausführung von Schadcode über das Netzwerk. CVSS-Basiswert: 9.8 (Kritisch). Es liegen keine Hinweise auf aktive Ausnutzung (CISA KEV) oder einen Einsatz in Ransomware-Kampagnen vor.

Severity: Kritisch · CVSS: 9.8

Betroffene Produkte: microsoft-windows, progress-moveit</description>
      <category>Kritisch</category><category>Microsoft Windows</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-39983 — basic-ftp – FTP Command Injection via CRLF</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-39983</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-39983</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Node.js-Bibliothek „basic-ftp” erlaubt in Versionen vor 5.2.1 FTP-Command-Injection über CRLF-Sequenzen (\\r\\n) in Dateipfad-Parametern von High-Level-API-Methoden wie „cd()”, „remove()” und anderen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 2.0 %.

Severity: Hoch · CVSS: 8.6 · EPSS: 2.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-11451 — GL.iNet GL-MT3000: snprintf-Schwachstelle im FTP-Protocol-Handler</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11451</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11451</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In GL.iNet GL-MT3000 4.4.5 ist die Funktion snprintf der Datei /cgi-bin/glc im FTP-Protocol-Handler betroffen. Eine Manipulation des Arguments media_dir ermöglicht die Ausnutzung. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 1.0 %. Empfohlene Massnahme: auf eine fehlerbereinigte Firmware-Version aktualisieren.

Severity: Hoch · CVSS: 7.3 · EPSS: 1.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-44403 — Wing FTP Server – Authenticated Remote Code Execution via Lua-Injection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-44403</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-44403</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wing FTP Server vor Version 8.1.3 enthält eine Schwachstelle zur authentifizierten Remotecodeausführung im Session-Serialisierungs-Mechanismus, die es authentifizierten Administratoren ermöglicht, beliebigen Lua-Code einzuschleusen. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.6%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-10698 — Progress MOVEit Transfer: Injection in den Custom-Reports-Modulen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10698</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10698</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Neutralisierung spezieller Elemente in der Datenabfragelogik der Custom-Reports-Module von Progress MOVEit Transfer betrifft die Versionen ab 2025.0.0 vor 2025.0.8. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf MOVEit Transfer 2025.0.8 oder neuer.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.4%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-60105 — Monsta FTP – Server-Side Request Forgery in fetchRemoteFile</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-60105</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-60105</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Monsta FTP vor Version 2.14.5 enthält eine Server-Side-Request-Forgery-Schwachstelle in der Aktion fetchRemoteFile. Ursache ist eine unvollständige Prüfung der IP-Sperrliste in der Funktion isBlockedIP(), die bestimmte Adressen nicht erkennt. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Eine aktive Ausnutzung über CISA KEV ist nicht bekannt. Empfohlene Massnahme: Update auf Monsta FTP 2.14.5 oder neuer einspielen.

Severity: Hoch · CVSS: 8.6 · EPSS: 0.3%

Betroffene Produkte: progress-moveit, check-point</description>
      <category>Hoch</category><category>Progress</category><category>Check Point</category>
    </item>
    <item>
      <title>CVE-2026-10699 — Progress MOVEit Transfer – Speicherleck in den Custom-Reports-Modulen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-10699</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-10699</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Progress MOVEit Transfer besteht in den Custom-Reports-Modulen eine Schwachstelle durch fehlende Speicherfreigabe nach Ablauf der effektiven Lebensdauer. Betroffen sind MOVEit Transfer ab Version 2025.0.0 vor 2025.0.8 sowie ab 2025.1.0. Die Auswirkung betrifft die Verfügbarkeit des Dienstes. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Aktualisierung auf MOVEit Transfer 2025.0.8 oder neuer.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-3517 — Progress ADC – OS Command Injection über API (Geo Administration)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3517</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3517</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „Geo Administration”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.3%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-49486 — Apache Airflow: FTP-Provider überträgt den Datenkanal unverschlüsselt</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-49486</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-49486</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Der FTP-Provider von Apache Airflow baute in FTPSHook.get_conn() eine ftplib.FTP_TLS-Verbindung auf, rief jedoch nie prot_p() auf; dadurch war zwar der Steuerkanal TLS-geschützt, der Datenkanal wurde aber unverschlüsselt übertragen. Als betroffen ausgewiesen sind Apache HTTP Server / ASF-Projekte, Apache Tomcat und Progress. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: die vom Hersteller bereitgestellten Updates einspielen.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.3%

Betroffene Produkte: apache-http-server-asf-projekte, apache-tomcat, progress-moveit</description>
      <category>Hoch</category><category>Apache HTTP Server / ASF-Projekte</category><category>Apache Tomcat</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-9272 — Progress Flowmon ADS – Schwachstelle für niedrig privilegierte Nutzer</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-9272</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-9272</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Progress Flowmon ADS (Versionen vor 12.5.6 und 13.0.5) kann ein als niedrig privilegierter Nutzer im Anomaly Detection System (ADS) authentifizierter Angreifer speziell präparierte Anfragen senden. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Flowmon ADS 12.5.6 bzw. 13.0.5 oder neuer aktualisieren.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2019-25686 — Core FTP 2.0 – Denial-of-Service im PBSZ-Befehl</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25686</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25686</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Core FTP 2.0 Build 653 enthält eine Denial-of-Service-Schwachstelle im PBSZ-Befehl, die es nicht authentifizierten Angreifern ermöglicht, den Dienst durch Senden eines missgebildeten Befehls mit überdimensioniertem Puffer zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-11903 — Progress MOVEit Transfer – Cross-Site-Scripting im Ad-Hoc-Modul</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11903</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11903</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine unzureichende Neutralisierung von Eingaben bei der Erzeugung von Webseiten (Cross-Site-Scripting) im Ad-Hoc-Modul von Progress MOVEit Transfer betrifft Versionen ab 2026.0.0. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 8 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-3518 — Progress ADC – OS Command Injection über API (All-Berechtigungen)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3518</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3518</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „All”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8079 — Progress Flowmon: Schwachstelle im PDF-Generierungsprozess</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8079</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8079</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Progress Flowmon vor Version 12.5.9 und 13.0.11 kann ein authentifizierter Nutzer mit niedrigen Rechten während des PDF-Generierungsprozesses eine Anfrage präparieren, die zu Betriebssystem-Operationen führt. CVSS-Basiswert: 7.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf Version 12.5.9 bzw. 13.0.11 oder höher aktualisieren.

Severity: Hoch · CVSS: 7.3 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-5174 — Privilege Escalation durch fehlerhafte Eingabevalidierung in MOVEit Automation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-5174</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-5174</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress MOVEit Automation wurde eine Schwachstelle durch unsachgemässe Eingabevalidierung gemeldet, die eine Rechteausweitung ermöglicht. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.7 · EPSS: 0.1%

Betroffene Produkte: progress-moveit, rockwell-automation</description>
      <category>Hoch</category><category>Progress</category><category>Rockwell Automation</category>
    </item>
    <item>
      <title>CVE-2026-7201 — Authorization Bypass durch nutzerkontrollierten Schlüssel in Progress Sitefinity</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7201</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7201</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In den Web Services von Progress Sitefinity (Versionen 15.2.x bis 15.4.x) ermöglicht eine Autorisierungsumgehung durch einen nutzerkontrollierten Schlüssel (CWE-639) entfernten authentifizierten Angreifern unbefugten Zugriff. CVSS-Basiswert: 8.8 (Hoch).

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-6022 — Unkontrollierter Ressourcenverbrauch in Telerik UI for AJAX (RadAsyncUpload)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6022</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6022</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Telerik UI for AJAX vor Version 2026.1.421 erlaubt die Komponente RadAsyncUpload durch unkontrollierten Ressourcenverbrauch das Hochladen von Dateien, die die konfigurierte maximale Grösse überschreiten. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: progress-moveit, net-microsoft</description>
      <category>Hoch</category><category>Progress</category><category>.NET / Microsoft</category>
    </item>
    <item>
      <title>CVE-2019-25654 — Core FTP/SFTP Server – Buffer Overflow im User-Domain-Feld</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25654</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25654</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Core FTP/SFTP Server 1.2 enthält eine Buffer-Overflow-Schwachstelle, die es Angreifern ermöglicht, den Dienst durch Übergabe einer übermässig langen Zeichenkette im User-Domain-Feld zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-41236 — Symlink-Following-Schwachstelle in Froxlor (SSH-Key-Synchronisation)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41236</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41236</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Die quelloffene Server-Administrationssoftware Froxlor enthält laut Quelle in Version 2.3.6 eine Symlink-Following-Schwachstelle im root-eigenen Pfad zur Synchronisation von SSH-Schlüsseln für Kunden-FTP-Benutzer. Über diesen Provisioning-Code lässt sich die Verknüpfungsauflösung ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-41324 — basic-ftp – Denial of Service durch unkontrollierten Speicherverbrauch</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41324</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41324</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Die Node.js-Bibliothek „basic-ftp” ist in Versionen vor 5.3.0 anfällig für Denial-of-Service durch unbegrenztes Speicherwachstum beim Verarbeiten von Verzeichnislistings eines bösartigen FTP-Servers. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.1%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-6023 — Unsichere Deserialisierung im RadFilter-Steuerelement von Telerik UI for AJAX</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6023</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6023</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Telerik UI for AJAX (Versionen 2024.4.1114 bis 2026.1.421) ist das RadFilter-Steuerelement anfällig für unsichere Deserialisierung, wenn der Filterstatus aus einer clientseitig zugänglichen Quelle wiederhergestellt wird. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.0%

Betroffene Produkte: progress-moveit, net-microsoft</description>
      <category>Hoch</category><category>Progress</category><category>.NET / Microsoft</category>
    </item>
    <item>
      <title>CVE-2019-25329 — FTP Navigator – Denial of Service durch SEH-Überschreibung</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25329</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25329</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>FTP Navigator 8.03 enthält eine Denial-of-Service-Schwachstelle, die es Angreifern durch Überschreiben der Structured-Exception-Handler-Register mit manipulierten Eingaben ermöglicht, die Anwendung zum Absturz zu bringen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-3692 — Progress Flowmon – Unbeabsichtigte Codeausführung bei Report-Generierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3692</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3692</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Progress Flowmon vor Version 12.5.8 kann ein authentifizierter Benutzer mit niedrigen Rechten eine präparierte Anfrage während der Report-Generierung stellen, die zu unbeabsichtigter Codeausführung führt. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-3519 — Progress ADC – OS Command Injection über API (VS Administration)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-3519</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-3519</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der API von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „VS Administration”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-6265 — Privilege Escalation durch unsichere geerbte Berechtigungen in Cerberus FTP Server</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6265</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6265</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In Cerberus FTP Server unter Windows besteht eine Schwachstelle durch unsichere vererbte Berechtigungen, die eine Rechteausweitung ermöglicht. Das Problem wurde in Cerberus FTP Server 2026.1 behoben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-4048 — Progress ADC – OS Command Injection über UI (All-Berechtigungen)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-4048</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-4048</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Benutzeroberfläche von Progress ADC-Produkten ermöglicht eine OS-Command-Injection-Schwachstelle einem authentifizierten Angreifer mit „All”-Berechtigungen die Ausführung beliebiger Befehle auf dem LoadMaster-Gerät. CVSS-Basiswert: 8.4 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-7195 — Improper Input Validation in Progress Sitefinity Web Services</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7195</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7195</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In den Web Services von Progress Sitefinity (Versionen 14.1.x bis 15.3.x) besteht eine Schwachstelle durch unsachgemässe Eingabevalidierung (CWE-20). CVSS-Basiswert: 8.8 (Hoch).

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-7313 — Unzureichend geschützte Zugangsdaten in Progress Sitefinity (ältere Versionen)</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-7313</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-7313</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In den Web Services von Progress Sitefinity (Versionen 8.0.5700 bis 13.3.7652) können entfernte authentifizierte Angreifer Klartext-Zugangsdaten auslesen (CWE-522). CVSS-Basiswert: 8.7 (Hoch).

Severity: Hoch · CVSS: 8.7 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2019-25681 — Xlight FTP Server – SEH-Overwrite-Schwachstelle</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25681</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25681</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Xlight FTP Server 3.9.1 enthält eine Schwachstelle durch Überschreiben des Structured Exception Handlers (SEH), die es lokalen Angreifern ermöglicht, die Anwendung zum Absturz zu bringen und SEH-Zeiger durch Übergabe eines manipulierten Puffers zu überschreiben. CVSS-Basiswert: 8.4 (Hoch).

Severity: Hoch · CVSS: 8.4 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2019-25267 — Wing FTP Server – Unquoted Service Path ermöglicht Codeausführung mit erhöhten Rechten</title>
      <link>https://feed.xonatec.ch/reports/cve-2019-25267</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2019-25267</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Wing FTP Server 6.0.7 enthält eine Unquoted-Service-Path-Schwachstelle, die es lokalen Angreifern ermöglicht, potenziell beliebigen Code mit erhöhten Systemprivilegien auszuführen. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.8 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Hoch</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8650 — Progress MOVEit Transfer – Path Traversal im Admin-Settings-Modul</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8650</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8650</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Schwachstelle durch relatives Path Traversal im Admin-Settings-Modul von Progress MOVEit Transfer betrifft Versionen vor 2025.0.7 sowie 2025.1.0 vor 2025.1.3. CVSS-Basiswert: 4.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %. Empfohlene Massnahme: Update auf 2025.0.7 bzw. 2025.1.3 oder neuer einspielen.

Severity: Mittel · CVSS: 4.5 · EPSS: 0.4%

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8649 — Progress MOVEit Transfer – Injection in den Custom-Reports-Modulen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8649</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8649</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In den Custom-Reports-Modulen von Progress MOVEit Transfer besteht eine Schwachstelle durch unzureichende Neutralisierung von Sonderzeichen in der Abfragelogik. Betroffen ist MOVEit Transfer vor 2025.0.7 sowie ab 2025.1.0. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-48858 — Erlang/OTP ftp: SSRF über unvalidierte PASV-Antwort</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48858</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48858</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine Server-Side-Request-Forgery-Schwachstelle (SSRF) im ftp-Modul (ftp_internal) von Erlang/OTP erlaubt FTP-Bounce-Angriffe und SSRF über eine nicht validierte IP-Adresse in der PASV-Antwort. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.5 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-53361 — Linux-Kernel – Fehler in der af_unix Garbage Collection</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-53361</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-53361</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde eine Schwachstelle in der Garbage Collection von af_unix behoben: In unix_gc() wurde gc_in_progress nicht korrekt auf true gesetzt, sodass die GC unter falscher Annahme laufen konnte. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Der Fix wird über die Kernel-Pakete der betroffenen Distributionen verteilt; das bereitgestellte Update sollte eingespielt werden.

Severity: Mittel · EPSS: 0.2%

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, progress-moveit</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-41235 — CVE-2026-41235 – Umgehung der freigegebenen Shell-Liste</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-41235</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-41235</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Laut Quellbeschreibung können Administratoren in Froxlor 2.3.6 über die Einstellung `system.available_shells` die Liste der zugelassenen Shells festlegen, die Kunden ihren FTP-Nutzern zuweisen dürfen. Die Quelldaten deuten auf eine unzureichende Durchsetzung dieser Vorgabe hin; weitergehende Details sind nicht belegt. CVSS-Basiswert liegt nicht in den Quelldaten vor. Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Mittel · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2025-65640 — Arket Globe Document Intelligence: Cross-Site-Scripting in der Aufgabenübersicht</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-65640</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-65640</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In Arket Globe Document Intelligence 5.0.0.559 besteht eine Cross-Site-Scripting-Schwachstelle auf der Seite &apos;Task in Progress / Recent&apos;. Ursache ist eine unzureichende Bereinigung von Nutzereingaben in Textfeldern beim Erstellen von Aufgaben. CVSS-Basiswert: 6.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

Severity: Mittel · CVSS: 6.3 · EPSS: 0.0%

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-28116 — Progress Planner – Stored XSS</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-28116</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-28116</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im WordPress-Plugin „Progress Planner” von Emilia Projects besteht eine Schwachstelle durch unsachgemässe Neutralisierung von Eingaben bei der Webseitengenerierung (Stored Cross-Site Scripting). CVSS-Basiswert: 5.9 (Mittel).

Severity: Mittel · CVSS: 5.9

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2025-68206 — Linux-Kernel: seqadj-Extension für genattete Verbindungen in nft_ct</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-68206</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-68206</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Im Linux-Kernel wurde eine Schwachstelle im netfilter-Connection-Tracking (nft_ct) behoben. Für genattete Verbindungen wird nun eine seqadj-Extension hinzugefügt, wie sie etwa für FTP-Traffic mit PASV/EPSV benötigt wird. Ein CVSS-Basiswert liegt in den Quelldaten nicht vor. Empfohlene Massnahme: die von den Distributionen (Amazon Linux, Oracle Linux, Rocky Linux) bereitgestellten Kernel-Updates einspielen.

Severity: Mittel

Betroffene Produkte: amazon-linux-alas, oracle-linux-elsa, rocky-linux, progress-moveit</description>
      <category>Mittel</category><category>Amazon Linux (ALAS)</category><category>Oracle Linux (ELSA)</category><category>Rocky Linux</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2025-66478 — CVE-2025-66478 – Progress</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-66478</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-66478</guid>
      <pubDate>Mon, 01 Jun 2026 00:00:00 GMT</pubDate>
      <description>Für Progress-Produkte (MOVEit) wurde eine Sicherheitslücke (CVE-2025-66478) gemeldet.

Severity: Mittel

Betroffene Produkte: progress-moveit</description>
      <category>Mittel</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8801 — Progress MOVEit Transfer: Path-Equivalence-Schwachstelle in File-Upload-Modulen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8801</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8801</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In den File-Upload-Modulen von Progress MOVEit Transfer besteht eine Path-Equivalence-Schwachstelle. Betroffen sind MOVEit Transfer vor 2025.0.8 sowie ab 2025.1.0 vor 2025.1.4. CVSS-Basiswert: 3.5 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf MOVEit Transfer 2025.0.8 bzw. 2025.1.4.

Severity: Niedrig · CVSS: 3.5 · EPSS: 0.3%

Betroffene Produkte: progress-moveit</description>
      <category>Niedrig</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8651 — Progress MOVEit Transfer: Eingeschränkter Authentifizierungs-Bypass durch Spoofing</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8651</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8651</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine eingeschränkte Schwachstelle zur Authentifizierungsumgehung durch Spoofing betrifft das HTTPS-Modul von Progress MOVEit Transfer. Betroffen sind Versionen vor 2025.0.7 sowie von 2025.1.0 vor 2025.1.3. CVSS-Basiswert: 3.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: MOVEit Transfer auf 2025.0.7 bzw. 2025.1.3 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 3.7 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Niedrig</category><category>Progress</category>
    </item>
    <item>
      <title>CVE-2026-8800 — Progress MOVEit Transfer: Fehlerhafte Autorisierung im Audit-User-Modul</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-8800</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-8800</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlerhafte Autorisierung im Audit-User-Modul von Progress MOVEit Transfer betrifft die Versionen vor 2025.0.7 sowie ab 2025.1.0 vor 2025.1.3. CVSS-Basiswert: 2.7 (Niedrig). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf MOVEit Transfer 2025.0.7 bzw. 2025.1.3 oder neuer aktualisieren.

Severity: Niedrig · CVSS: 2.7 · EPSS: 0.2%

Betroffene Produkte: progress-moveit</description>
      <category>Niedrig</category><category>Progress</category>
    </item>
  </channel>
</rss>
